[ajuda] Boas práticas para configuração de Firewall PFSENSE 2.2.2
-
Boa tarde pessoal
Ontem tive alguns problemas após trocar o modem ADSL por outro e o PFsense que funcionava normalmente há meses parou de reconhecer o IP que vinha do modem. Após inúmeras tentativas resolvi instalar a versão 2.2.2 e agora tudo funciona normalmente.
Atualmente o PFsense não possui nenhuma regra de firewall ou portas criadas. Na pratica está trabalhando apenas como um DHCP server.
Na outra instalação que estava eu havia feito diversos tipos de bloqueios como facebook, youtube pela porta HTTPS HTTP, download com tamanho limitado e extensões específicas, gerenciava cache, emitia relatório de uso e acesso enfim ele realmente ficou muito bom.
Eu andei pesquisando e vi que existem inumeras formas de configurar o firewall seja por Squid\squid guard, ACLS, e por isso queria perguntar aos nobres colegas:
Independente do cenário de implantação de um servidor firewall existem algumas regras básicas que devem ser seguidas correto?
Desabilitar as RULES Default e criar as próprias para acesso HHTP \ HTTPS \ DNS \ SMTPS \ POP3 \ FTP \ etc
Está correto este pensamento?Usar proxy transparente nas estações locais? em que ambiente é mais ou menos recomendado?
Em relação ao bloqueio de conteúdo como facebook, sites adultos, etc. Seria recomendado usar as ACLs ou a shalas blak list?
Entendam que não estou pedindo para me ajudar a fazer o procedimento, o que preciso é uma idéia clara do recurso que seria mais adequado para gerenciar o firewal.
Obrigado
-
Boa noite!
Eu administro vários firewall e sempre uso a seguinte configuração:
Trafego da lan para lan liberado (evitando bloqueios desnecessário como o netbios)
Servidor DHCP como vencimento de 8 dias (para não ter que ficar cadastrando MAC para fixar ip)
Wpad por DHCP e por DNS para evitar configurar o proxy nas estações.
Squid Transparente para HTTP, pois para HTTPS tem que instalar certificado e ai é muito trabalhoso o WPAD resolve isso pra mim.
SquidGuard para os bloqueios através da shallalist com um target livres e outra bloqueados para meus próprios bloqueios.
Alias para portas TCP Liberadas e outro para UDP Liberadas.
Alias para Maquinas com todas as portas de saídas liberadas.
Alias para servidores conhecidos tipo receita federal.
LigthSquid para analisar tráfego e em alguns caso o SARG tambémAtravés disso já tenho todo o controle que preciso
-
Minha pratica é a mesma, e estou estudando um IDS (Suricata) para fazer analise e bloqueio de tentativas de invasão e para bloquear serviços como Tor, Ultrasuft.